[计算机]浅淡工作组环境共享资源互访.doc

浅淡工作组环境共享资源互访(一)由于在域环境下,对用户的身份验证及资源的共享访问进行了集中管理,访问共享资源的实现比较简单，在此不做讨论。因此本文仅针对工作组环境下共享资源的互访做下粗浅的介绍，希望能起到抛砖引玉的作用。 那么访问的过程是怎样进行的呢？以及应该具备什么样的条件呢？如图所示： 点此查看大图1。存在一条可用的物理链路(可使用Ping命令进行测试) 2。保证双方计算机上的协议、端口、组件、服务能正常工作。这些工作在网络通讯的底层,只有底层的网络工作正常,访问才有可能正常进行. 3。用户身份验证及访问授权。你必需向要访问的计算机出示你的身份证明。出于安全的考虑，系统是不可能允许来历不明的人随便访问它的共享资源的。在通过了身份验证后，系统会根据你的身份生成相应的访问令牌，令牌里包含了你是对系统的操作能力(权力)及对资源的访问能力(权限)，这个过程称之为授权。 4。安全策略的审核。在表明的身份后，安全策略会再次检查你所声明的身份是否符合策略中的定义的条件。好比您买一张船票，上船的时间您过了检票那关(身份验证)，当您向一等舱方向走过去的时候您就会被拦下来，要求您出示一等舱的船票，当然很可能您买的是二等舱的，这时您就会被委婉的拒绝。 5。权限的检查。共享的资源可能很多,但并不是每个资源您都有权限访问,这就涉及到资源的共享访问权限以及NTFS权限的检查。共享访问权限在文件属性的共享选项卡里设置，而NTFS权限则在安全选项卡中设置。只有最终通过了访问权限的检查你才可能真正访问到对方计算机上的共享资源。 大概的访问过程是这样的，在客户端和服务器能够正常通迅的情况下(1、2条满足)客户端通过网上邻居或UNC路径的方式向服务器提交访问请求，服务器在接到请求后会去验证客户端的身份,这时依据服务器端的设置，把客户端验证为匿名访问(来宾)或服务器端某一个已知的用户。如果是匿名用户，将统一使用Guest帐号进行网络登录(在启用了简单文件共享的前提下)，如果是已知的用户，将使用该用户的登陆凭据(如帐号及口令)生成相应的访问令牌。这时系统会根据安全策略的定义再次进行审核，比如该用户是否被拒绝网络访问，是否使用的空口令进行登录等等。如果安全策略审核通过了，访问将继续，这时您可能会点击共享列表里的某一文件夹，以查看其内容，这时候本地安全授权子系统(LSASS)会去检查该文件夹的共享访问列表和安全访问列表是否存在您所声明的用户的安全标识符(SID),如果存在,检查其是否有访问该共享资源的权限，假如有权访问,则通过检查，否则拒绝访问。如果不存在该用户的安全标识符则拒绝访问。(注：访问资源的称客户端，提供资源的称服务器) 共享权限设置： 安全权限设置： 这里再简要介绍一下网上邻居的工作原理。在工作组环境下，加入到工作组中的各台计算机的身份是平等的。一台计算机即可以充当客户端也可以是服务器。那么计算机是怎样查找资源的呢？为了帮助用户找到网络资源，微软使用了一项称为浏览服务的机制完成网络资源的查找和定位(对应的系统服务是computer Browser)。当我们的机器启动的时候（准确的说是一台启用了文件和打印机共享的计算机进入其所在的局域网中的时候），它会先在网络中寻找一台称为主浏览服务器的计算机，然后向他通告自己的到来，主浏览服务器维护着一个动态更新的浏览表。表中列举了可用的基于NETBIOS的共享资源。浏览表包含每台计算机Netbios名称到IP地址的映射，也包含所有共享资源的具体位置。普通客户机在主浏览器的主浏览表中加入自己，告诉他:我来到了这个网络我的Netbios名字是XXX,IP是192.168.x.y。当你打开网上邻居的时候，首先通过广播来查找到主浏览器。如果没有主浏览器或者主浏览器关机，则在网络中就会通过选举来推选出一个主浏览器。一般的,98工作组中,第一台启用文件及打印机共享功能的计算机，会充当主浏览器的角色。在2000以及后续版本，“主浏览器角色”则主要通过选举产生，选举的原则就要是看计算机使用的操作系统以及版本的高低。没记错的话，能充当WINS服务器的计算机最有可能成为主浏览器。在主浏览器后还有备份浏览器和潜在浏览器，而浏览服务列表就是由这样的一台或几台计算机所构成的计算机群共同维护的。通过广播找到主浏览服务器后，会从那里得到一张共享资源及对应位置的列表(如我们在网上邻居所看到的那样)，然后我们就可以通过这张表方便的访问网络资源了。当然，假如网上邻居不工作了，假如我们知道具体的共享名以及存放于哪台计算机，也可以通过类似192.168.x.y的UNC路径名的方式访问(假如您发现哪天网上邻居访问不了，而通过UNC路径可以访问，您就知道是网上邻居的浏览机制出了问题)。如需要更详细的说明不妨参考微软的KB文档里编号为188305和188001这两篇文章(拿这两个编号上微软网站上搜即可)现在我们来说说底层的协议和端口以及组件和服务应当怎么设置才能保证网络的正常通讯。首先，实现“文件和打印机共享”必须要有协议支持，协议相当于一种通讯语言。能实现局域网共享访问的协议有三个，TCP/IP协议，NETBEUI协议，NWLink IPX/SPX/NetBIOS兼容协议，那么这三个协议有什么区别呢？一般的，在小型局域网环境下，用户只是为了简单的文件和设备的共享，那么访问速度快，占用内存小和带宽利用率高的NetBEUI协议将是最佳选择。如果你的网络存在多个网段或要通过路由器相连时，就不能使用不具备路由和跨网段操作功能的NetBEUI协议，而必须选择IPX/SPX或TCP/IP等协议。因为，IPX/SPX在设计一开始就考虑了多网段的问题，具有强大的路由功能，适合于大型网络使用。当用户端接入NetWare服务器时，IPX/SPX及其兼容协议是最好的选择。但在非Novell网络环境中，一般不使用IPX/SPX。尤其在Windows NT网络和由Windows 95/98组成的对等网中，无法直接使用IPX/SPX通信协议。所以一般的共享访问安装了TCP/IP协议就可以了。（在有NT操作系统的局域网环境下则必须安装NETBEUI协议）如果要使用TCP/IP协议来实现共享访问，有两种方式。一种是通过传统的NetBT协议通过137、138、139端口，另一种是TCP/IP上的SMB直接承载,通过445端口。 具体解释如下： UDP：137 - NetBIOS名称服务器,网络基本输入/输出系统(NetBIOS)名称服务器(NBNS)协议是TCP/IP上的NetBIOS (NetBT)协议族的一部分，它在基于NetBIOS名称访问的网络上提供主机名和地址映射方法。 UDP：138 - NetBIOS数据报,NetBIOS数据报是TCP/IP上的NetBIOS (NetBT)协议族的一部分，它用于网络登录和浏览。 TCP：139- NetBIOS会话服务,NetBIOS会话服务是TCP/IP上的NetBIOS (NetBT)协议族的一部分，它用于服务器消息块(SMB)、文件共享和打印。 TCP：445默认情况下，系统总是会优先使用445端口进行SMB会话，仅在445端口工作失败的情形下，才会使用139端口建立会话。但在网络环境中如果没有配置自己的DNS服务器的话，则必须使用NetBT的139。所以在安装了TCP/IP协议后，还要检查是否禁用了NetBT,如图所示： 假如服务器端启用了防火墙，那么访问请求很可能被防火墙截住。比如我们确定知道某台计算机上开了共享，但是通过UNC路径仍旧提示无法找到网络路径如图所示，这时我们就应该考虑是否是防火墙的配置问题了。a.对于系统自带的防火墙，我们可以这样配置：打开控制面板，windows防火墙，切换到例外选项卡，在文件和打印机共享前面的复选框上打上勾。如图所示。 这样访问请求就可以正常的到达服务端了。b.如果你使用了第三方防火墙，则可以在防火墙规则里手动开启UDP的137、138和TCP的139、445端口。当然如果你安装了NETBEUI协议,则不用担心防火墙，因为它会绕过防火墙进行直接通讯。 好，端口和协议讲完了，下面来看组件和服务。要实现网络共享，必需安装的组件是Microsoft 网络客户端和Microsoft 网络的文件和打印机共享这两项，对应的服务是workstation和server。这是最基本的，利用Microsoft 网络客户端和workstation服务，你的计算机就可以访问别人的共享资源。而利用Microsoft 网络的文件和打印机共享和server服务则能让别人访问你的计算机共享出来的资源。除此之外还应开启的系统服务有：Computer Browser（这个服务维护着前面提到的网络计算机列表,也就是说如果你想通过网上邻居访问共享就应该启用它，而且两边都要启用）、TCP/IP NetBIOS Helper（这个对NetBT服务以及NetBIOS名称解析提供支持） 如果对方计算机Microsoft 网络的文件和打印机共享和server服务没启用你将会看到下图： 如果是Microsoft 网络客户端组件前面的勾没勾上，那么就会出现如下报错信息： 要是换成 workstation服务没启动，报错信息会略有不同： 浅淡工作组环境共享资源互访(二) 如果双方计算机的网络通讯没有问题后。客户端就可以通过网络登录到共享服务器上了。但是等等，没有那么简单，人家要身份验证呢！网络登录与控制台登录(本地登录)一样，要求用户提供相应的登录凭据，如果服务器的安全配置允许的话，也可以匿名登录。但即使是同一帐户，网络登录也比控制台登录有更严格的权限访问控制。网络登录有两种身份验证模式，验证为来宾和验证为自已。 验证为来宾：很明显，这种验证模式下有个必要条件，来宾帐户必须启用，否则会弹出个对话框，无法登录，如图： 如你所见，帐户名一栏默认是来宾，但来宾帐户在登录的计算机上被禁用了，所以是灰的。这里无论你在下面的密码框中输入什么，都是无济于事的。呵呵，尽管“来宾”这头衔听起来蛮不错的，但俗话说得好，人在屋檐下，还不得看人家三分眼色。所以来宾帐户在网络访问中往往只具有最低的访问权限。 验证为自已：该模式下，客户端首先会尝试使用自已当前登录的用户帐户提交到服务器端进行身份验证，如果服务器上存在一个同名同密码的帐户，那么就会使用该帐户进行网络登录。除此之外，连到服务端时默认会弹出身份验证对话框让你输用户名和密码。这种情况下你必须知道对方计算机上的某个可用帐户，并且拥有正确的密码。这样你就可以使用对方计算机上自已的那个帐户进行登录了。当然如果对方计算机上启用了来宾帐户，那么你也可以使用来宾登录。 身份验证对话框： 验证模式的控制选项：有两个地方可以修改网络登录的验证模式 1。文件夹选项查看，在高级设置文件和文件夹下，有一项“使用简单文件共享(推荐)”，前面的勾勾上的话就是仅来宾验证模式，去掉前面的勾则变成经典身份验证模式。(该项只XP存在) 2。更为明确的控制项是在控制面板管理工具本地安全策略安全选项下的网络访问：本地帐户的共享和安全模式策略，可以看到仅来宾以及经典以本地用户自己的身份验证两个条目。 在身份验证完成后，系统会根据你登录的用户生成相应的访问令牌，也就是授权。系统将结合这个访问令牌及共享资源的访问控制列表(ACL)，来决定你是否有权访问该资源以及对该资源相应的操作权限。 解决了身份的问题，别急，我们还要接受系统定义的安全策略的检查，跟共享访问相关的安全策略主要有： 1。控制面板管理工具本地安全策略安全选项下网络访问：不允许SAM帐户和共享的匿名枚举 2。控制面板管理工具本地安全策略安全选项“帐户：使用空白密码的本地帐户只允许进行控制台登陆。”（这条不会对启用了“仅来宾”验证模式的来宾帐户起作用。） 3。控制面板管理工具本地安全策略用户权利指派下的拒绝从网络访问这台计算机 4。控制面板管理工具本地安全策略用户权利指派下的从网络访问此计算机 网络访问：不允许SAM帐户和共享的匿名枚举：如果该项设为启用，那么网络访问：不允许SAM帐户的匿名枚举策略项将不起作用。该策略拒绝任何的匿名连接枚举当前系统的共享资源及帐户名， 该策略的注册表控制项就是 HKEY_LOCAL_MACHINESYSTEMControlSet001ControlLsarestrictanonymous 0为禁用，表示依赖于默认权限，也就是说任何用户都可以通过网络获取本机的信息，包含用户名，详细的帐号策略和共享名。这些信息可以被攻击者在攻击计算机的时候所利用。 1为启用，不允许匿名枚举 SAM 帐户和共享名称，该策略将影响来宾帐户访问共享。 当访问被策略拒绝时将出现如下对话框： “帐户：使用空白密码的本地帐户只允许进行控制台登陆。”：该策略限制了网络登录的用户的密码不能为空，当然guest除外。 当访问被策略拒绝时将出现如下对话框： 拒绝从网络访问这台计算机 及从网络访问此计算机：windows的策略有两大类，一类是允许的策略，一类是拒绝的策略。在执行策略检查的时候先看拒绝的策略，如果满足拒绝策略里定义的条件，那么应用拒绝策略。如果不满足拒绝策略里定义的条件，则会去看